Vorwort
Ich freue mich, Ihnen den Jahresbericht des EDSB für 2022 vorzulegen. Im Rückblick auf das Jahr sehe ich vieles, was Anlass zum Nachdenken gibt. Es war ein ereignisreiches Jahr mit Herausforderungen und Grund zur Hoffnung, es war schwierig, doch auch ermutigend - für die ganze Welt, und auch für den EDSB.
Auf die russische Invasion in die Ukraine hat die Europäische Union 2022 in nie zuvor gesehener Weise reagiert. Die EU hat im letzten Jahr gezeigt, dass sie gerade bei Bedrohung von außen in der Lage ist, unionsweite Lösungen zu finden, und zwar in einer Weise, die nicht nur Solidarität beweist, sondern auch unsere zentralen Werte und Grundsätze aufrechterhält. In diesem Geiste war auch der EDSB im letzten Jahr bestrebt, zu zeigen, dass wir für das Grundrecht auf Datenschutz einstehen - selbst in Krisenzeiten, als es galt, schnell und wirksam zu handeln und zu reagieren. Unsere Arbeit zur Unterstützung der Unionsgesetzgeber im Gesetzgebungsverfahren und zur Aufsicht über den Aufbau von Eurojust, der Agentur der Europäischen Union für die justizielle Zusammenarbeit in Strafsachen, ist Zeugnis für unsere Überzeugung, dass wir mit vereinten Kräften stärker sind.
Obwohl sich die Ereignisse weltweit überstürzten, war dies auch ein Jahr, in dem wir darüber nachdachten, was wir anstreben und wie wir dorthin gelangen: Wie können wir eine Zukunft schaffen, die den sich heute abzeichnenden Herausforderungen gewachsen ist? Unsere am 16./17. Juni 2022 veranstaltete EDSB-Konferenz „Die Zukunft des Datenschutzes - Wirksame Durchsetzung in der digitalen Welt“ konnte glücklicherweise in Brüssel stattfinden. Über 2000 Konferenzteilnehmer waren vor Ort oder online dabei. Alle einte das Hauptziel, vier Jahre nach Inkrafttreten der Datenschutz-Grundverordnung die Debatte über deren künftige Durchsetzung voranzutreiben.
Auf diese Veranstaltung, insbesondere auf die spannenden Diskussionen im Laufe der beiden Konferenztage, die auch schon zu greifbaren Maßnahmen der Datenschutz-Community geführt haben, können wir stolz sein.
Zwei wichtige Beispiele für die Wirkung unserer Konferenz sind die in der Wiener Erklärung des Europäischen Datenschutzausschusses niedergelegten Verpflichtungen und die Pläne der Europäischen Kommission für einen Vorschlag zur Harmonisierung einiger verfahrenstechnischer Aspekte der Arbeit der Datenschutzbehörden, um deren grenzüberschreitende Zusammenarbeit bei der Durchsetzung der DSGVO zu verbessern. Ich bin gespannt, wohin uns diese Diskussionen führen werden, und ich bin allen in unserer Community dankbar für ihre mutigen Beiträge zu unseren Überlegungen.
Als Datenschutzaufsichtsbehörde, die für die Aufsicht über die Organe, Einrichtungen und sonstigen Stellen der Union zuständig ist, kommt dem EDSB eine besondere Rolle zu, weil er ausschließlich öffentliche Stellen beaufsichtigt. Mit dieser Rolle geht die Verantwortung einher, über die Funktion des Staates in demokratischen Gesellschaften nachzudenken. Dies war der Anlass für unseren Diskussionsbeitrag zum Thema Spyware („EDPS Preliminary Remarks on Modern Spyware“), mit dem wir für mehr demokratische Aufsicht über Praktiken in den Bereichen Strafverfolgung und nationale Sicherheit eintreten.
In diesem Zusammenhang hat der EDSB Europol angewiesen, große Datenbestände, für die kein Zusammenhang mit strafbaren Handlungen nachgewiesen ist, zu löschen. Diese Anweisung des EDSB rief den Gesetzgeber auf den Plan, gegen dessen Vorgehen der EDSB dann beim Gerichtshof der Europäischen Union Klage auf Feststellung der Nichtigkeit der mit der Änderung der Europol-Verordnung eingeführten rückwirkenden Bestimmungen erhob.
Darin zeigt sich unsere grundlegende Überzeugung, dass die Europäische Union weltweite Maßstäbe für Rechtsstaatsprinzipien und demokratische Werte setzen kann - und dass sie dies auch tun sollte.
Das geht aber nur, wenn auch die Europäische Union selbst höchste Standards anstrebt. Wir bleiben fest entschlossen, auch in den kommenden Jahren zu diesem wichtigen Ziel beizutragen. Sicherlich wird das nächste Jahr wieder ganz neue Herausforderungen bringen, aber ich freue mich schon darauf, auch diese mit unserem dynamischen und kompetenten EDSB-Team entschlossen anzugehen.
Wojciech Wiewiórowski
Europäischer Datenschutzbeauftragter
1.
Über uns
1.1.
Der EDSB
Wer wir sind
Der Europäische Datenschutzbeauftragte (EDSB) ist die unabhängige Datenschutzbehörde der Europäischen Union, deren Aufsicht die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union (EUI) unterliegt.
Wir beraten die EUI bei neuen Gesetzesvorschlägen und - initiativen zum Schutz personenbezogener Daten.
Wir überwachen die Auswirkungen neuer Technologien auf den Datenschutz und arbeiten mit nationalen Aufsichtsbehörden zusammen, um die einheitliche Durchsetzung der EU-Datenschutzvorschriften zu gewährleisten.
Unser Auftrag
Datenschutz ist ein Grundrecht, das durch europäisches Recht geschützt ist. Wir setzen uns ein für eine starke Datenschutzkultur in den EUI.
Zentrale Werte und Grundsätze
Die Werte, die unserer Arbeitsweise zugrunde liegen, sind Unparteilichkeit, Integrität, Transparenz und Pragmatismus.
- Unparteilichkeit bedeutet für uns, in dem uns vorgegebenen rechtlichen und politischen Rahmen zu arbeiten und auf Unabhängigkeit, Objektivität und Interessenausgleich zu achten.
- Integrität bedeutet für uns, in unserem Verhalten höchsten Anforderungen zu genügen und stets richtig zu handeln.
- Transparenz bedeutet für uns, unser Handeln und unsere Beweggründe in klarer, allgemein verständlicher Sprache zu erklären.
- Pragmatismus bedeutet für uns, die Bedürfnisse der Beteiligten zu erkennen und praktikable Lösungen anzustreben.
Unsere Aufgaben
Wir haben vier Hauptarbeitsbereiche:
- Aufsicht und Durchsetzung: Wir überwachen die Verarbeitung personenbezogener Daten durch die EUI, um die Einhaltung der Datenschutzbestimmungen sicherzustellen.
- Politik und Beratung: Wir beraten die Europäische Kommission, das Europäische Parlament und den Rat bei Vorschlägen für neue Rechtsvorschriften und datenschutzrelevante Initiativen.
- Technologie und Privatsphäre: Wir verfolgen und bewerten technologische Entwicklungen auf ihre datenschutzrelevanten Auswirkungen hin. Wir achten darauf, dass die Systeme, die von EUI für die Verarbeitung personenbezogener Daten eingesetzt werden, angemessene Garantien für die Einhaltung der Datenschutzvorschriften vorsehen. Wir implementieren die digitale Transformation des EDSB.
- Zusammenarbeit: Wir setzen uns zusammen mit Datenschutzbehörden für einen unionsweit kohärenten Datenschutz ein. Unsere Hauptplattform für die Zusammenarbeit mit Datenschutzbehörden ist der Europäische Datenschutzausschuss (EDSA), für den wir das Sekretariat bereitstellen.
Unsere Zusammenarbeit mit dem EDSA ist in einer gemeinsamen Absichtserklärung geregelt.
Unsere Befugnisse
Die Befugnisse, die uns als der Datenschutzbehörde der EUI zukommen, sind in der Verordnung (EU) 2018/1725 festgelegt.
Nach dieser Verordnung haben wir verschiedene Befugnisse. Wir können zum Beispiel: eine EUI, die personenbezogene Daten unrechtmäßig oder missbräuchlich verarbeitet, warnen oder verwarnen; anordnen, dass EUI Anträgen, mit denen betroffene Personen ihre Rechte ausüben, Folge leisten; die vorübergehende oder endgültige Beschränkung einer bestimmten Datenverarbeitung verhängen; Geldbußen gegen EUI verhängen; in einer Sache den Gerichtshof der Europäischen Union anrufen.
Darüber hinaus haben wir besondere Befugnisse im Rahmen der Aufsicht darüber, wie folgende Einrichtungen und Agenturen mit personenbezogenen Daten verfahren: Europol - die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung auf Grundlage der Verordnung 2016/794; Eurojust - die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen auf Grundlage der Verordnung 2018/1727; EUStA - die Europäische Staatsanwaltschaft auf Grundlage der Verordnung (EU) 2017/1939; sowie Frontex - die Europäische Grenz- und Küstenwache.
Nähere Informationen über den EDSB sind auf unserer Website unter „Häufig gestellte Fragen“ zu finden.
Nähere Informationen über Datenschutz im Allgemeinen können in unserem Glossar auf der Website des EDSB nachgeschlagen werden.
1.2.
Strategie des EDSB für die Jahre 2020-2024
In einer vernetzten Welt mit grenzüberschreitendem Datenverkehr sind europäische und internationale Solidarität wichtig, um das Recht auf Datenschutz zu stärken und dafür zu sorgen, dass Daten dem Wohl der Menschen dienen - in der EU und auch darüber hinaus.
Die Strategie des EDSB für 2020-2024 beruht auf drei Säulen: Voraussicht, Handeln und Solidarität zur Gestaltung einer digitalen Zukunft, die sicherer, gerechter und nachhaltiger ist.
- Voraussicht bedeutet für uns, als vorausschauende Einrichtung die Trends in der langfristigen Entwicklung des Datenschutzes sowie des rechtlichen, gesellschaftlichen und technologischen Kontexts zu verfolgen.
- Handeln bedeutet für uns, proaktiv weltweit führende Datenschutzinstrumente für die Organe, Einrichtungen und sonstigen Stellen der EU (EUI) zu entwickeln; auf ein einheitlicheres Vorgehen der Durchsetzungsstellen in der EU hinzuwirken, in dem echte europäische Solidarität, Lastenteilung und gemeinsamer Ansatz stärker zum Ausdruck kommen.
- Solidarität bedeutet für uns, dass in allen EU-Politikbereichen die Privatsphäre jedes Menschen geschützt sein muss und eine Datenverarbeitung im öffentlichen Interesse im Zeichen der Nachhaltigkeit stehen sollte.
2.
Unsere Ziele für 2023 und darüber hinaus
Halbzeitüberprüfung der Strategie „Eine sicherere digitale Zukunft gestalten“
Bei der Ausarbeitung der Strategie des EDSB für 2020-2024, die den Titel „Eine sicherere digitale Zukunft gestalten“ trägt, waren die Veränderungen, die der Welt unmittelbar bevorstanden, nicht zu erahnen. Die Anfang 2020 verfasste Strategie des EDSB beruht auf drei Säulen: Voraussicht, Handeln und Solidarität. Niemand, nicht einmal unsere besten Prognoseexperten, hätten den Paradigmenwechsel, der dann eintrat, vorhersagen können. Kaum hatten wir 2020 unsere Strategie beschlossen, stellten sich uns ganz neue Herausforderungen: die COVID-19-Pandemie, der Krieg gegen die Ukraine und die Weltwirtschaftskrise.
Deshalb entschieden wir uns 2022, unsere Strategie 2020-2024 einer Halbzeitüberprüfung zu unterziehen. Ursprünglich beabsichtigten wir, zu bewerten, wie weit wir im Hinblick auf die in der Strategie genannten Ziele vorangekommen sind. Die Halbzeitüberprüfung erwies sich dann jedoch als sehr gute Gelegenheit, darüber nachzudenken, ob die Veränderungen des weltweiten Umfelds eine institutionelle Richtungsänderung erforderten. Im folgenden Kapitel des Jahresberichts werden die Ergebnisse der Halbzeitüberprüfung sowie die neuen Schwerpunkte der Vision und Prioritäten vorgestellt, die der EDSB im weiteren Strategiezeitraum setzen wird.
Verfahren der Halbzeitüberprüfung
Die Halbzeitüberprüfung folgte einem Bottom-up-Ansatz, bei dem die Strategie intern bewertet wurde. Die Absicht war, nachdem das Personal der Behörde gegenüber 2020 aufgestockt worden war, insbesondere die Stimmen der neuen Mitarbeitenden zu hören. Auf diese Weise konnten wir das im Haus vorhandene interdisziplinäre Wissen und die Erfahrung der EDSB-Mitarbeitenden nutzen, um unsere wichtigsten Arbeitsschwerpunkte für die kommenden Jahre festzulegen.
Die Halbzeitüberprüfung wurde in zwei Phasen durchgeführt. Die erste Phase bestand aus einer Lückenanalyse. Am Anfang der Analyse stand eine Kartierung, bei der alle EDSB-Mitarbeitenden mitwirkten. Wir begannen mit einer Diskussion, in der der Datenschutzbeauftragte den
EDSB-Mitarbeitenden das geplante Verfahren vorstellte und ihre Einsichten und Überlegungen dazu einholte. Unter Berücksichtigung des wertvollen Inputs der Mitarbeitenden ging es dann an die Kartierung. Die EDSB-Mitarbeitenden sollten zu den 57 Zielen, die in der Strategie des EDSB für
2020-2024 aufgeführt sind, angeben, ob und inwieweit diese Ziele erfüllt worden waren. Im Anschluss daran wurde mittels Lückenanalyse der hinsichtlich der Ziele erreichte Fortschritt ermittelt.
Die Kartierung ergab, dass wir, was die Umsetzung der in der Strategie aufgeführten Ziele angeht, schon sehr weit vorangekommen sind. Von den 57 in der Strategie genannten Zielen waren laut der Lückenanalyse 15 bereits erreicht; bei 40 war schon einiger Fortschritt erzielt und nur 2 befanden sich noch in einer frühen Umsetzungsphase.
Die positiven Ergebnisse der Lückenanalyse bildeten die Grundlage für die zweite Phase der Halbzeitüberprüfung. In der zweiten Phase wurden die EDSB-Mitarbeitenden dazu befragt, wie sie die Zukunft des EDSB sehen und ob die neuen Gegebenheiten in unserem Umfeld es möglicherweise erforderlich machen, den Strategieschwerpunkt für den restlichen Zeitraum zu verlagern. Dabei ging es insbesondere um die Festlegung der Hauptbereiche, auf die der EDSB seine Arbeit bis zum Ende des Strategiezeitraums konzentrieren möchte.
Ergebnisse der Halbzeitüberprüfung: von der Festlegung der Konturen zum entschiedenen Einsatz für eine sichere digitale Zukunft
Aus den Ergebnissen der Konsultationsphase kristallisierten sich verschiedene institutionelle Prioritäten heraus, die wir für besonders wichtig halten und denen wir im weiteren Strategiezeitraum 2020-2024 zusätzliche Aufmerksamkeit und Mittel widmen werden.
Priorität 1: Wirksame Durchsetzung des Datenschutzes in neuem regulatorischen Umfeld
Nachdem mehrere Gesetzesinitiativen im digitalen Bereich angenommen wurden, finden sich der EDSB wie auch die anderen Datenschutzbehörden in einem erheblich komplexeren regulatorischen Umfeld wieder. Diese neue Regulierungslandschaft, die durch Rechtsakte wie zum einen das
Daten-Governance-Gesetz (DGG), das Gesetz über digitale Märkte (GDM) und das Gesetz über digitale Dienste (GdD) und zum anderen die vorgeschlagenen Gesetze über künstliche Intelligenz bzw. über Daten entsteht, soll nach dem Willen des Gesetzgebers neue regulatorische Funktionen und Regulierungsbehörden vorsehen.
Grundsätzlich sollen diese Gesetze keine Beeinträchtigung oder Änderung der DSGVO (oder
EU-DSVO) bewirken, jedoch gibt es in diesen neuen oder künftigen Vorschriften einige Bestimmungen, die ausdrücklich auf Definitionen, Konzepte und Pflichten in der DSGVO Bezug nehmen. Überdies steht zwar die Verarbeitung personenbezogener Daten im Mittelpunkt der in den verschiedenen Gesetzen geregelten Tätigkeiten, doch die Datenschutzbehörden sind darin nicht als die hauptzuständigen Behörden vorgesehen. Mit der Durchsetzung werden - vollständig oder in sehr hohem Maße - Behörden betraut, deren Hauptaufgaben andere politische Ziele als den Datenschutz oder den Schutz der Privatsphäre betreffen. Folglich ist es erforderlich, einen kohärenten Ansatz für die regulatorischen Tätigkeiten im digitalen Bereich sicherzustellen. Wir werden deshalb daran arbeiten, ein Konzept für unsere Rolle im Verhältnis zu diesen Behörden zu entwickeln und herauszufinden, welche Erwartungen diese Behörden an den EDSB haben.
Dabei werden wir, sowohl als EDSB als auch als Mitglied des Europäischen Datenschutzausschusses, auf unserer umfassenden und weithin anerkannten Erfahrung in der Gewährleistung eines kohärenten Ansatzes für das digitale Ökosystem aufbauen und die Arbeit der relevanten Koordinierungsforen - zum Beispiel der hochrangigen Gruppe zum Gesetz über digitale Märkte - steuern und aktiv unterstützen.
Soweit keine spezifische Koordinierungsstelle gesetzlich vorgesehen ist, die Durchsetzung jedoch einen engen Dialog mit den Behörden erfordert, deren Aufgabe die Anwendung von Vorschriften mit Auswirkungen und Privatsphäre und Datenschutz ist, werden wir uns aktiv für eine starke Zusammenarbeit mit den zuständigen Stellen einsetzen.
Außerdem werden wir bestrebt sein, sicherzustellen, dass die Datenschutzgrundsätze und - vorschriften nicht durch die Anwendung und Durchsetzung neuer Gesetze untergraben werden. Der EDSB wird deshalb auch künftig unsere Beratungsfunktion ausüben, um zu überwachen und darauf hinzuweisen, welche Folgen sich in der Praxis aus der Anwendung neuer Regulierungsrahmen ergeben könnten. Erforderlichenfalls werden wir auch Durchsetzungsmaßnahmen in Betracht ziehen.
In diesem Zusammenhang wird der EDSB auch in der Rolle tätig, die ihm als Aufsichtsbehörde für die Organe, Einrichtungen und sonstigen Stellen der EU (EUI) in Bezug auf Künstliche Intelligenz zukommen kann. Es sind intensive Vorbereitungen, sowohl in organisatorischer als auch in methodologischer Hinsicht, vorgesehen, um unsere neue Aufgabe von Anfang an wahrnehmen zu können.
Auch das Projekt „Digitaler Euro“ ist für uns von hoher strategischer Bedeutung. Es erfordert eine enge Zusammenarbeit mit Experten mit Erfahrung in den Bereichen Politik, Recht, Technologie und Aufsicht. Viel wird davon abhängen, wie der digitale Euro letztendlich gestaltet wird, das Projekt wird aber zweifellos erhebliche Auswirkungen auf den Schutz der Privatsphäre und den Datenschutz haben. Auch andere Vorschläge, die den Finanzsektor betreffen, werden eine sorgfältige Prüfung erfordern, zum Beispiel der Gesetzesvorschlag zum Rahmen für ein „Offenes Finanzwesen“ (Open Finance), der den Datenaustausch und den Zugang Dritter im Finanzsektor ermöglichen soll. Wir werden das potenzielle Zusammenspiel mit dem Daten-Governance-Gesetz und dem Datengesetz deshalb mit größter Sorgfalt prüfen.
Die im Juni 2022 veranstaltete EDSB-Konferenz „Die Zukunft des Datenschutzes: Wirksame Durchsetzung in der digitalen Welt“ war der Auslöser dafür, die öffentliche Debatte über die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) erheblich voranzubringen - was auch dringend erforderlich war. An den diesbezüglichen Entwicklungen - insbesondere der sogenannten Wiener Erklärung des EDSA und dem angekündigten Vorschlag der Europäischen Kommission für eine Harmonisierung gewisser Aspekte der nationalen Verfahrensvorschriften - wird deutlich, dass die Bemühungen um mögliche Verbesserungen der Funktionsweise der DSGVO die Debatte noch auf Jahre beherrschen werden. Das öffentliche Interesse an der Konferenz des EDSB wie auch ihre öffentliche Wirkung zeigen, dass dem EDSB als unabhängige Stelle der EU die wichtige Rolle zukommt, sich in dieser Debatte für gesamteuropäische Ansätze einzusetzen, die die volle Einhaltung der Charta der Grundrechte der Europäischen Union gewährleisten.
Priorität 2: Interoperabilität erfordert Überarbeitung des Aufsichtsansatzes
Die anstehende Interoperabilität ist eine Herausforderung, und der EDSB sieht sich in der Pflicht, einen wirksamen Ansatz für die Aufsichtstätigkeit sicherzustellen. Mit der Einführung des Interoperabilitätsrahmens folgt die EU einem neuen Ansatz für das Datenmanagement im Bereich Grenzen und Sicherheit, der neues Nachdenken über die Methode für die Überwachung von
IT-Großsystemen erfordert. Die vorgeschlagenen Änderungen des Interoperabilitätsrahmens der EU hätten zur Folge, dass mehrere IT-Großsysteme mit den Datenbanken von Europol und Interpol verbunden würden, wodurch ein Datenflusssystem entstünde, das die Risiken durch den Betrieb der zugrundeliegenden Systeme für die betroffenen Personen noch verstärken würden.
Wir haben mehrere Herausforderungen festgestellt, für die Lösungen gefunden werden müssen.
Da die Gesamtarchitektur komplex und die Datenschutzvorschriften zersplittert sind, bedarf es einer Neukalibrierung der Aufsicht, die sich auf die Datenflüsse - und nicht auf die separate Überwachung der Datenverarbeitung in den einzelnen Systemen - konzentriert. Gleichermaßen ist wegen der Einführung zusätzlicher Datenverarbeitungstätigkeiten, die ursprünglich nicht in den jeweiligen Rechtsinstrumenten zur Gründung der zugrundeliegenden IT-Großsysteme vorgesehen waren, eine gründliche Prüfung im Hinblick auf den Grundsatz der Zweckbindung erforderlich. Überdies kann es im Zusammenhang mit Ausschussverfahren und der Übertragung von Zuständigkeiten auf eu-LISA (die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts) vorkommen, dass Entscheidungen getroffen werden, die erhebliche Auswirkungen auf den Datenschutz haben. Solange die Rechte betroffener Personen nicht für alle Systeme gleichzeitig auf einem einzigen Weg ausgeübt werden können, kann dies zu einer Rechtszersplitterung führen.
Der EDSB wird sich deshalb bis zum Ende des Mandats auf folgende drei Prioritätsbereiche konzentrieren, die die Grundlage für unsere Aufsicht über den Interoperabilitätsrahmen bilden:
(1) Rechte betroffener Personen - Wir wollen dem entgegenwirken, dass die Vielzahl interoperabler Datenbanken mit mehreren Verantwortlichen zur Zersplitterung der Rechte betroffener Personen führt. Dazu werden wir die Möglichkeiten für eine koordinierte Aufsicht erkunden, was auch einschließt, gemeinsam mit anderen Datenschutzbehörden über eine bessere Abstimmung der Verfahren für die Ausübung der Rechte betroffener Personen nachzudenken. Außerdem wollen wir einen proaktiven Ansatz für die Rechte betroffener Personen entwickeln, insbesondere im Hinblick auf das Auskunftsrecht.
(2) Strategie für Datenschutzüberprüfungen - Wir wollen eine maßgeschneiderte Strategie für Datenschutzüberprüfungen für IT-Großsysteme und die Interoperabilitätskomponenten entwickeln, die dem neuen Ökosystem angepasst ist. Das könnte dazu führen, dass künftig statt einzelner Systeme die Datenflüsse geprüft werden. Die Strategie wird einen gemeinsamen Ansatz für die Überprüfung der Interoperabilität beinhalten, der auch die Pflichten zur Überprüfung anderer Agenturen der Union (Europol, Frontex, Eurojust) berücksichtigt, um sicherzustellen, dass der Grundsatz der Zweckbindung eingehalten wird und die Behörden nur im Rahmen ihrer jeweiligen Aufgaben auf Daten zugreifen und Daten verarbeiten. Dieser gemeinsame Ansatz wird einen rechtlichen und einen technischen Teil umfassen. Da der EDSB nach den Verordnungen über IT-Großsysteme ausdrücklich gehalten ist, „Überprüfungen gemäß internationalen Prüfungsstandards“ durchzuführen, wird eine gemeinsame Auslegung dieser Anforderung erforderlich sein.
(3) Algorithmische Profilierung - Was die algorithmische Profilierung angeht, steht insbesondere die Ausarbeitung des Standpunkts des EDSB zur Anwendung dieses Instruments im Interoperabilitätsrahmen (ETIAS und VIS) und darüber hinaus im Vordergrund. Dabei wird es vor allem um Themen wie Diskriminierung, Zuverlässigkeit, Verhältnismäßigkeit und Transparenz gehen. Die Aufsicht über algorithmische Profilierung ist ein komplexes Thema, das noch recht neu ist und die Zusammenarbeit mit anderen Agenturen und Einrichtungen im Bereich Menschenrechte und Antidiskriminierung sowie möglicherweise auch mit Akteuren aus Zivilgesellschaft und Wissenschaft erfordert. Diese Aufsicht wird unseren Beitrag zur Arbeit der Beratungsgremien für Grundrechte für ETIAS (Europäisches Reiseinformations- und -genehmigungssystem) und VIS (Visa-Informationssystem) untermauern; unsere Arbeit wird darauf abzielen, angemessene Überwachungs- und Aufsichtsinstrumente für diesen neuen Aufsichtsbereich zu entwickeln.
Priorität 3: Internationale Zusammenarbeit zur Förderung weltweiter gemeinsamer Konzepte für den Schutz der Privatsphäre und den Datenschutz
Das aktive Engagement in der internationalen Zusammenarbeit ist unseres Erachtens von grundlegender Bedeutung. Auf diese Weise können wir uns auch über Europa hinaus für eine gemeinsame Sichtweise und gemeinsame Konzepte zur Bewältigung der Herausforderungen in den Bereichen Datenschutz und Schutz der Privatsphäre einsetzen. Wir planen, uns noch stärker in der internationalen Zusammenarbeit zu engagieren, da in internationalen Gremien viele Themen von hoher strategischer Bedeutung diskutiert werden.
So wollen wir insbesondere die Koordinierung des Handelns und der Strategien der Mitglieder des EDSA in internationalen Foren fördern und uns noch stärker im Rahmen der GPA (Global Privacy Assembly), des Europarats und des Runden Tischs der Datenschutzbehörden der G7 sowie der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung) engagieren, indem wir durch aktive Teilnahme dafür sorgen, dass die Ansichten der europäischen Behörden und des EDSA wirksam vertreten sind. Außerdem wollen wir auch die Zusammenarbeit mit internationalen Organisationen und regionalen Datenschutznetzen intensivieren.
Priorität 4: Effizienzorientierte Neugestaltung der Arbeitsprozesse des EDSB vor dem Hintergrund rapider Veränderungen
Die Umsetzung der Strategie des EDSB für 2020-2024 erfolgt in einer Phase, in der eine Krise auf die nächste folgt: von der COVID-19-Pandemie über die russische Invasion in die Ukraine bis zu steigenden Energiekosten und allgemeiner Inflation. Wir haben unsere Methoden und Prozesse anpassen müssen, um weiterhin ganze Arbeit leisten zu können. Im Großen und Ganzen ist es uns gelungen, das, was wir uns mit der Strategie vorgenommen haben, zu erreichen. Die interne Analyse ergab jedoch, dass einige Arbeitsprozesse doch noch weiter überarbeitet werden müssen, um unseren Effizienzvorgaben und langfristigen Standards - sowohl als öffentliche Verwaltung der EU als auch als Datenschutzbehörde - besser gerecht zu werden.
Letzteres betrifft unter anderem Vorgaben in Bezug auf die Verfolgung gemeldeter Datenschutzverletzungen, die Bearbeitung von Beschwerden und die Möglichkeit, kritische Compliance-Probleme proaktiv anzugehen, zum Beispiel durch Untersuchungen oder Überprüfungen. Wir werden weiterhin über neue Tools nachdenken, mit denen die Compliance online oder aus der Ferne bewertet werden kann. Die Wahrnehmung der Aufsichtsaufgaben des EDSB wird allerdings durch die Knappheit der personellen und finanziellen Mittel erheblich erschwert.
Gleichzeitig ergeben sich durch den Krieg in der Ukraine ganze neue Aufgaben für den EDSB.
So hat die Europäische Kommission 2021 ein Gesetzespaket zur Änderung der Eurojust-Verordnung vorgeschlagen, um die Verarbeitung von Beweismitteln zu gestatten, die zum Zwecke von Ermittlungen wegen von Russland begangener Kriegsverbrechen gesammelt wurden. 2022 wurde ein weiteres Gesetzespaket verabschiedet, durch das Eurojust zur europäischen Zentrale für die Sicherung, Analyse und Speicherung von Beweismitteln im Zusammenhang mit schweren Völkerrechtsverbrechen ernannt wurde. Für die Einrichtung der neuen Beweismitteldatenbank wurde uns eine wichtige Rolle zugewiesen. Im Januar 2023 kündigte die Europäische Kommission an, das neue Internationale Zentrum für die Strafverfolgung des Verbrechens der Aggression gegen die Ukraine (ICPA) bei Eurojust einzurichten. Alle diese Gesetzesänderungen bedeuten für uns eine Vielzahl zusätzlicher Aufgaben, die wir jetzt schon oder aber künftig wahrnehmen müssen. Wegen der politischen Bedeutung der Unterstützung der EU für die Ukraine und der erheblichen Arbeitsbelastung, die für uns damit verbunden ist, sehen wir unsere Tätigkeiten in diesem Bereich als eine unserer Hauptprioritäten.
Das öffentliche Interesse an der Arbeit des EDSB nimmt zu, was sich nicht zuletzt in der Anzahl der Auskunftsanträge zeigt. Auch wir wollen noch transparenter arbeiten, nicht nur im Rahmen einer guten Verwaltung, sondern auch, weil dies eine wichtige Möglichkeit ist, unsere Arbeit den Menschen zugänglich zu machen. Wir werden auch künftig weiter auf hohes Datenschutzniveau und Rechenschaftspflicht achten, um selbst ein gutes Beispiel dafür zu geben, dass es nicht allein um die Einhaltung der gesetzlichen Anforderungen geht, sondern auch um den Einsatz erstklassiger Tools und Dienstleistungen, die für den Schutz der Privatsphäre und Datenschutz sorgen. Was die Cybersicherheit angeht, werden wir uns den neuen Verordnungen anpassen müssen, die in allen EUI eine höhere allgemeine Cybersicherheit gewährleisten sollen.
3.
Das Wichtigste aus dem Jahr 2022
3.1.
Einsatz zum Schutz der Menschen
Wir sind die Datenschutzaufsichtsbehörde, die für die Aufsicht über die Organe, Einrichtungen und sonstigen Stellen der Union (EUI) zuständig ist. Unser Ziel ist es, natürliche Personen und ihre Grundrechte, insbesondere ihre Privatsphäre und ihre personenbezogenen Daten, zu schützen, indem wir dafür sorgen, dass die EUI alle Datenschutzvorschriften einhalten.
Zu diesem Zweck geben wir den EUI Orientierung, indem wir Empfehlungen, Bemerkungen und Stellungnahmen herausgeben, Überprüfungen durchführen sowie Schulungen und Ressourcen anbieten, mit denen wir ihnen geeignete Mittel an die Hand geben, um im Arbeitsalltag den Datenschutz zu berücksichtigen, wann immer sie personenbezogene Daten verarbeiten müssen, um Entscheidungen zu treffen oder Maßnahmen zu ergreifen.
3.1.1.
Beaufsichtigung des Raums der Freiheit, der Sicherheit und des Rechts
Eines der Themen, in denen wir schwerpunktmäßig tätig werden mussten, war die Aufsicht über den Raum der Freiheit, der Sicherheit und des Rechts (RFSR). Der RFSR umfasst Politikbereiche von der Überwachung der Außengrenzen, über die justizielle Zusammenarbeit in Zivil- und Strafsachen bis zu Asyl, Migration und Bekämpfung von Straftaten. Im Bereich RFSR sind mehrere Agenturen der Union tätig, darunter Europol (die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung), Frontex (die Europäische Agentur für die Grenz- und Küstenwache), die EuStA (die Europäische Staatsanwaltschaft) und Eurojust (die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen). Da es sich um Informationen sensibler Art handelte, deren Verarbeitung, wenn sie nicht ordnungsgemäß erfolgt, gravierende Auswirkungen haben könnte, war unsere Rolle in diesem Bereich besonders wichtig.
3.1.2.
Übermittlung personenbezogener Daten in Länder außerhalb der EU / des EWR
Dem Thema der internationalen Übermittlung personenbezogener Daten in Länder außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) haben wir im Laufe der Jahre immer mehr Aufmerksamkeit widmen müssen. Auch 2022 mussten wir erhebliche Ressourcen aufwenden, um das Schutzniveau für die personenbezogenen Daten natürlicher Personen sicherzustellen.
So haben wir zu diesem Zweck mehrere Initiativen durchgeführt sowie Rat und Empfehlungen dazu erteilt, auf welche Weise die EUI, wenn sie Dienstleistungen von außerhalb der EU / des EWR ansässigen Anbietern in Anspruch nehmen, die Anforderungen des EU-Datenschutzrechts erfüllen sollten.
Nutzung von Produkten und Dienstleistungen von außerhalb der EU / des EWR
Im Rahmen unserer Initiativen untersuchen wir laufend, wie EUI die Produkte und Cloud-Services von Anbietern außerhalb der EU / des EWR verwenden; dies betrifft insbesondere die Verwendung von Microsoft Office 365 durch die Europäische Kommission. Außerdem veröffentlichen wir Leitlinien und Grundsätze zu diesen Themen und führen auch Schulungen für EUI durch. Damit wollen wir die EUI für die Risiken sensibilisieren, die sich ergeben, wenn für die Verwendung von Tools oder die Durchführung von Datenverarbeitungstätigkeiten Daten in Länder außerhalb der EU / des EWR übermittelt werden. Wir wollen die EUI auch darüber aufklären, dass es möglich ist, durch Vertragsklauseln und Verwaltungsvereinbarungen, aber auch durch andere Vorkehrungen dafür zu sorgen, dass die personenbezogenen Daten natürlicher Personen auch außerhalb der EU / des EWR einen im Wesentlichen gleichwertigen Schutz genießen.
Im Rahmen unserer Arbeit in diesem Bereich und unserer Befugnisse als EDSB haben wir eine Reihe Übermittlungen personenbezogener Daten in Länder außerhalb der EU / des EWR zugelassen, weil die EUI nachweisen konnten, dass es robuste Verfahren und Vorkehrungen gab, die sicherstellten, dass bei diesen Übermittlungen der Schutz der personenbezogenen Daten natürlicher Personen garantiert war.
Wir wollen auf diesem Gebiet mit gutem Beispiel vorangehen und arbeiten deshalb darauf hin, alternative Produkte und Dienstleistungen von in der EU / im EWR ansässigen Anbietern zu verwenden; diese Vorgehensweise legen wir auch den EUI nahe.
3.1.3.
Überprüfung von IT-Großsystemen
Eine unserer Hauptaufgaben ist der Schutz personenbezogener Daten in IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts. Eine unserer Funktionen ist die Überprüfung dieser Systeme, die sicherstellen soll, dass die Systeme den Vorschriften über Datenschutz und Schutz der Privatsphäre genügen.
Im Rahmen dieser Funktion überprüfen wir die von den Systembetreibern ergriffenen technischen und organisatorischen Maßnahmen darauf, ob sie den Grundsätzen des Datenschutzes durch Technikgestaltung genügen. Außerdem fördern wir bewährte Verfahren, indem wir Erkenntnisse und Empfehlungen, die sich aus den Überprüfungen ergeben, an andere Datenschutzbehörden in der EU weitergeben. Auf diese Weise pflegen wir eine unionsweite Kultur der Exzellenz auf dem Gebiet des Datenschutzes und Schutzes der Privatsphäre.
Mit unseren Überprüfungen wollen wir die EUI, aber auch die allgemeine Öffentlichkeit dafür sensibilisieren, wie wichtig Datenschutz und Schutz der Privatsphäre sind, wenn es um IT-Großsysteme geht. Indem wir diese wichtige Funktion ausüben, tragen wir dazu bei, die personenbezogenen Daten der Unionsbürger zu schützen, und stellen sicher, dass die IT-Großsysteme den höchsten Anforderungen an Datenschutz und Schutz der Privatsphäre genügen.
Im Oktober 2022 haben wir drei IT-Großsysteme vor Ort in den Räumlichkeiten von eu-LISA (Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts) in Straßburg überprüft:
Eurodac - die europäische Zentraldatenbank für Fingerabdruckdaten, die bei der Bearbeitung von Asylanträgen eingesetzt wird;
SIS II - das Schengener Informationssystem der zweiten Generation, das die innere Sicherheit und den Informationsaustausch zwischen nationalen Polizei-, Grenzschutz-, Zoll-, Visa- und Justizbehörden unterstützt;
VIS - das Visa-Informationssystem, das die Anwendung der gemeinsamen Visumpolitik unterstützt und Grenzübertrittskontrollen und die konsularische Zusammenarbeit ermöglicht.
Die Überprüfung, die auch die von eu-LISA bei Systementwicklung und -tests eingesetzten Methoden und Praktiken betraf, sollte sicherstellen, dass die Grundsätze von Sicherheit und Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen eingehalten werden. Außerdem überprüften wir die in Bezug auf IT-Sicherheit und Governance, Sicherheitsvorfälle und Datenschutzverletzungen ergriffenen Maßnahmen sowie die Umsetzung unserer bei früheren Überprüfungen gegebenen Empfehlungen.
3.2.
Schutz unserer Unabhängigkeit
Neue Europol-Verordnung: Klage des EDSB vor dem Gerichtshof der Europäischen Union
Am 16. September 2022 wandten wir uns an den Gerichtshof der Europäischen Union (EuGH) mit dem Antrag, zwei neue Bestimmungen der Änderungsfassung der Europol-Verordnung, die am 28.
Juni 2022 in Kraft trat, für nichtig zu erklären (Rechtssache T-578/22 - EDSB / Parlament und Rat). Die beiden Bestimmungen haben Auswirkungen auf in der Vergangenheit von Europol durchgeführte Verarbeitungsvorgänge, die personenbezogene Daten betreffen. Damit bewirken die Bestimmungen nicht nur eine schwere Beeinträchtigung der Rechtssicherheit für die personenbezogenen Daten natürlicher Personen, sondern gefährden auch die Unabhängigkeit des EDSB.
3.3.
Eine sicherere digitale Zukunft gestalten
Initiativen, die aus in Europa generierten Daten Wert für europäische Unternehmen und Menschen schöpfen und bei der Datenverarbeitung die europäischen Werte achten, wird in der Strategie des EDSB 2020-2024 großer Wert für die Gestaltung einer sichereren digitalen Zukunft zugemessen.
In diesem Sinne haben wir den Unionsgesetzgeber über die Datenschutzanforderungen in einem breiten Spektrum von Bereichen beraten: u. a. in den Bereichen Gesundheit, künstliche Intelligenz und Initiativen im Rahmen der Bekämpfung von Straftaten.
Normalerweise erfolgt unsere Beratung des Unionsgesetzgebers in Form von Stellungnahmen oder formellen Bemerkungen. Unsere Stellungnahmen werden als Antwort auf Konsultationsersuchen der Europäischen Kommission veröffentlicht, die rechtlich verpflichtet ist, zu jedem Gesetzesvorschlag unsere Meinung einzuholen, sowie in Form von Empfehlungen und Vorschlägen an den Rat, wenn es um völkerrechtliche Verträge mit Auswirkungen auf den Datenschutz geht. Als Antwort auf Ersuchen der Europäischen Kommission veröffentlichen wir formelle Bemerkungen, die Entwürfe für Durchführungsrechtsakte oder delegierte Rechtsakte betreffen.
Ist ein Gesetzes- oder sonstiger einschlägiger Vorschlag von besonderer Bedeutung für den Schutz personenbezogener Daten, kann die Europäische Kommission auch den Europäischen Datenschutzausschuss (EDSA) um Konsultation ersuchen. In solchen Fällen arbeiten EDSB und EDSA zusammen und geben eine gemeinsame Stellungnahme ab.
Das EU-Datengesetz
Wir haben mit dem EDSA eine gemeinsame Stellungnahme zum Vorschlag für das Datengesetz herausgegeben. Mit dem Datengesetz sollen harmonisierte Regeln dafür geschaffen werden, wer auf die Daten, die in einem breiten Spektrum von Produkten und Dienstleistungen - etwa in verbundenen Objekten („Internet der Dinge“), Medizin- und Gesundheitsprodukten sowie virtuellen Assistenten - erzeugt werden, zugreifen darf und wer die Daten nutzen darf.
In der Stellungnahme wurde hervorgehoben, dass unser Ziel - eine sicherere digitale Zukunft - nur erreicht werden kann, wenn die Datenverarbeitung mit den europäischen Werten in Einklang steht. Wenn neue Möglichkeiten der Datennutzung geschaffen werden, ist unbedingt sicherzustellen, dass der bestehende Datenschutzrahmen unangetastet bleibt. Außerdem haben wir betont, dass der Datenzugriff staatlicher Stellen stets ordnungsgemäß definiert und auf das unbedingt Erforderliche und Verhältnismäßige beschränkt sein muss; dies ist jedoch beim Entwurf für das Datengesetz nicht der Fall.
Der Europäische Raum für Gesundheitsdaten
Außerdem haben wir eine gemeinsame Stellungnahme zum Vorschlag über den Europäischen Raum für Gesundheitsdaten herausgegeben, in der wir für einen starken Schutz elektronischer Gesundheitsdaten eingetreten sind.
Der Vorschlag über den Europäischen Raum für Gesundheitsdaten ist der erste einer Reihe von Vorschlägen für bereichsspezifische gemeinsame europäische Datenräume. Er wird integraler Bestandteil der europäischen Gesundheitsunion sein, mit deren Aufbau die EU das volle Potenzial nutzen will, das sich eröffnet, wenn Gesundheitsdaten auf geschützte und sichere Weise mit anderen ausgetauscht, genutzt und weiterverwendet werden können.
Zusammen mit dem EDSA haben wir verschiedene Bedenken geäußert, insbesondere gegen eine Zweitnutzung elektronischer Gesundheitsdaten.
Künstliche Intelligenz
Wie bereits in der Strategie des EDSB für 2020-2024 hervorgehoben wurde, kommt in der öffentlichen Verwaltung wie auch in der Strafjustiz zunehmend künstliche Intelligenz (KI) zum Einsatz.
Unsere Aufgabe ist es, sicherzustellen, dass diese neue Technologie im Einklang mit dem Datenschutzrecht der Union unter Achtung der Privatsphäre natürlicher Personen genutzt wird.
Abgesehen von anderen Initiativen, die wir allein oder mit anderen ergriffen haben, haben wir eine Stellungnahme zur Empfehlung für einen Beschluss des Rates über die Ermächtigung zur Aufnahme von Verhandlungen im Namen der Europäischen Union über ein Übereinkommen des Europarats über künstliche Intelligenz, Menschenrechte, Demokratie und Rechtsstaatlichkeit (KI-Übereinkommen) verfasst. Wir sehen darin einen wichtigen Schritt zur Entwicklung des ersten rechtsverbindlichen völkerrechtlichen Übereinkommens über KI, das mit den europäischen Normen und Werten in Bezug auf Menschenrechte, Demokratie und Rechtsstaatlichkeit in Einklang steht; dieses Übereinkommen ergänzt das EU-Gesetz über künstliche Intelligenz. Allerdings bedarf es unseres Erachtens der Aufnahme geeigneter, starker und klarer Datenschutzgarantien zum Schutz der potenziell vom Einsatz von
KI-Systemen betroffenen natürlichen Personen.
Bekämpfung von Straftaten
Wir haben eine Reihe von Stellungnahmen zu verschiedenen Vorschlägen auf dem Gebiet des Strafrechts herausgegeben.
So befassten wir uns zum Beispiel in einer unserer gemeinsam mit dem EDSA herausgegebenen Stellungnahmen mit dem Vorschlag für eine Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern. Wir erklärten, dass wir die Ziele und Anliegen des Vorschlags unterstützen, jedoch Bedenken haben, dass dieser Risiken bergen könnte, die für die verfolgten Sexualstraftäter weniger gravierend wären als für den Rest der Bevölkerung - und damit für die Gesellschaft im Ganzen.
Ebenfalls beachtenswert waren unsere Empfehlungen und Leitlinien zum Thema der internationalen Zusammenarbeit in der Kriminalitätsbekämpfung. In diesem Zusammenhang haben wir eine Stellungnahme zu den zwei Vorschlägen herausgegeben, die die Mitgliedstaaten der EU zur Unterzeichnung des Zweiten Zusatzprotokolls zum Budapester Übereinkommen über Computerkriminalität
(Budapest-Konvention) sowie zur Ratifizierung des Protokolls zu ermächtigen.
Auch wenn Strafermittlung und Strafverfolgung legitime Zwecke sind, für die die internationale Zusammenarbeit (einschließlich des Informationsaustauschs) eine wichtige Rolle spielt, braucht die EU unseres Erachtens unbedingt tragfähige Vereinbarungen über den der Strafverfolgung dienenden Austausch personenbezogener Daten mit Nicht-EU-Staaten. Derartige Vereinbarungen müssen in vollem Umfang dem Unionsrecht genügen und insbesondere die Grundrechte auf Schutz der Privatsphäre und Datenschutz achten.
3.4.
Die Zukunft des Datenschutzes: Wirksame Durchsetzung in der
digitalen Welt
Im Juni 2022 veranstalteten wir unsere EDSB-Konferenz mit dem Titel „Die Zukunft des Datenschutzes: Wirksame Durchsetzung in der digitalen Welt“, die in Brüssel und online insgesamt mehr als 2 000 Teilnehmer zählte. Es gab über hundert Redner, drei Hauptveranstaltungen, sechzehn
Breakout-Sessions, neun einzelne Hauptvorträge und fünf Nebenveranstaltungen. Die zweitägige Veranstaltung bot Gelegenheit zu wichtigen Gesprächen über die Zukunft des Datenschutzes, insbesondere im Hinblick auf die Durchsetzung der Datenschutz-Grundverordnung (DSGVO).
Unsere langfristige Vision für die Zukunft des Datenschutzes ist klar: Es bedarf eines gesamteuropäischen Ansatzes für die Durchsetzung, um allen Menschen unionsweit den gleichen, echten und hohen Schutz zu bieten und das mit der DSGVO gegebene Versprechen zu erfüllen.
3.5.
Technologische Entwicklungen vorausschauend verfolgen
Eine der drei Hauptsäulen der Strategie des EDSB für 2020-2024 ist die Voraussicht. Damit ist gemeint, dass wir als Einrichtung vorausschauend agieren wollen, indem wir die Trends in der langfristigen Entwicklung des Datenschutzes sowie des rechtlichen, gesellschaftlichen und technologischen Kontexts vorausschauend verfolgen.
In der Praxis bedeutet das zum Beispiel, dass wir mit Experten, Spezialisten und Datenschutzbehörden in Kontakt stehen. Unser Ziel ist es, Technologien zu verstehen, ihre Auswirkungen auf den Schutz der Privatsphäre und der personenbezogenen Daten natürlicher Personen zu analysieren und dieses Wissen weiterzugeben, um Anstöße für eine datenschutzkonforme Entwicklung neu aufkommender neuartiger Technologien zu geben. Zwei unserer Initiativen in diesem Bereich sind TechSonar und TechDispatch.
TechSonar soll neu aufkommende Technologietrends antizipieren. Dabei geht es vor allem um ein besseres Verständnis der Relevanz künftiger Entwicklungen im Technologiesektor aus datenschutzrechtlicher Sicht. Mit unserer gemeinsamen Arbeit - die vom Trend-Scouting, über Brainstorming, Überprüfung und Veröffentlichung bis zur Interessenvertretung und kontinuierlichen Überwachung reicht - wollen wir zu der in den EUI geführten allgemeinen Diskussion über künftige Entwicklungen beitragen. Der am 10. November 2022 veröffentlichte zweite jährliche
TechSonar-Bericht enthält eingehende Darstellungen zu fünf Technologien, die man 2023 im Auge behalten sollte. Dies sind: digitale Zentralbankwährungen; Metaverse; synthetische Daten; Federated Learning und Systeme zur Fake-News-Erkennung.
TechDispatch soll neu aufkommende technologische Entwicklungen erklären. Die TechDispatch-Berichte, für die wir 2021 von Global Privacy Assembly mit dem Global Privacy Award ausgezeichnet wurden, sind Teil der weitergehenden Aktivitäten des EDSB im Bereich der Technologieüberwachung. Jeder TechDispatch enthält faktenorientierte Beschreibungen neuer Technologien, vorläufige Einschätzungen ihrer möglichen Auswirkungen auf die Privatsphäre und den Schutz personenbezogener Daten nach unserem heutigen Erkenntnisstand sowie Links mit Literaturempfehlungen. In dem im Juli 2022 veröffentlichten TechDispatch geht es um Fediverse und Federated Social Media Platforms.
3.6.
Digitale Innovation
Eines der Hauptanliegen der Strategie des EDSB für 2020-2024 ist die Förderung datenschutzfreundlicher Tools, bei deren gesamter Entwicklung und Nutzung die Grundrechte natürlicher Personen geachtet und priorisiert werden. Um diesen Zielen gerecht zu werden, haben wir immer schon - und werden wir auch künftig - nach alternativen Tools, insbesondere solchen für Kommunikation und Zusammenarbeit, Ausschau halten, die mit den unionsrechtlichen Datenschutzvorschriften und - standards in Einklang stehen. Indem wir diese alternativen Tools selbst nutzen, wollen wir die EUI ermutigen, unserem Beispiel zu folgen. Wenn wir alle dafür sorgen, dass wir weniger auf Monopolanbieter angewiesen sind, können wir verhindern, in eine schädliche Abhängigkeit zu geraten.
Wir selbst gehen mit gutem Beispiel voran, indem wir zum Beispiel Open-Source-Anwendungen und - Plattformen verwenden, die datenschutzfreundliche Alternativen zu den von den
Big-Tech-Unternehmen angebotenen Produkten und Dienstleistungen bieten. Damit spielen wir eine wichtige Rolle für die Förderung digitaler Innovation. Unser Einsatz für den Schutz der Privatsphäre erstreckt sich auch auf soziale Netzwerke und Tools für die Zusammenarbeit, zum Beispiel in Initiativen wie den Pilotprojekten EU Video, EU Voice und Nextcloud.
Im Februar 2022 fiel der Startschuss für die Pilotphase von zwei Social-Media-Plattformen: EU Voice, wo wir regelmäßig Posts über unsere Aktivitäten veröffentlichen, und EU Video für die Veröffentlichung von Videos. Damit bieten wir zwei zusätzliche alternative Kommunikationswege für die Interaktion mit unserem Publikum an. Beide Plattformen sind Teil dezentraler, freier und quelloffener
Social-Media-Netzwerke, die auf Mastodon- und PeerTube-Software basieren und den Nutzern die Kommunikation unter datenschutzfreundlichen Bedingungen ermöglichen. Bei beiden Projekten wird sehr auf Datenschutz und den Schutz der Privatsphäre ihrer Nutzer geachtet: So ist sichergestellt, dass die EUI nur Zugang zu Kommunikationstools haben, die mit den Werten und Grundsätzen der Union in Einklang stehen, und die personenbezogenen Daten der Nutzer in keiner Weise missbräuchlich nutzen.
Neben unserem Einsatz für datenschutzkonforme soziale Netzwerke unterstützen wir auch die Einführung alternativer Tools für die Zusammenarbeit, bei denen der Schutz der Privatsphäre an erster Stelle steht. Ein hervorragendes Beispiel dafür ist das Pilotprojekt Nextcloud.
Nextcloud ist eine quelloffene selbstgehostete Cloud-Plattform, mit der Nutzer auf sichere Weise Dateien, Kalender und Kontakte speichern und teilen und gemeinsam daran arbeiten können.
Indem wir für datenschutzfreundliche Tools wie Nextcloud werben und sie selbst benutzen, zeigen wir, dass wir es ernst meinen mit unserem Einsatz für ein digitales Ökosystem, das die Grundsätze des Schutzes von personenbezogenen Daten und Privatsphäre achtet. Damit setzen wir Anreize für die Entwicklung innovativer und datenschutzfreundlicherer Alternativen.
Anlässlich der Konferenz des EDSB „Die Zukunft des Datenschutzes: Wirksame Durchsetzung in der digitalen Welt“, die im Juni 2022 stattfand, haben wir eine spezielle Lösung für Videokonferenzen entwickelt, die den sich aus der DSGVO und der Verordnung (EU) 2018/1725 ergebenden Anforderungen an die Datenübermittlung in vollem Umfang gerecht wird. Mit diesem Praxisbeispiel konnten wir den Weg zur Datenschutzkonformität ebnen. Wir sind die Datenschutzbehörde, deren Aufsicht alle EUI unterliegen. Deshalb war es uns wichtig, zu zeigen, dass es durchaus datenschutzkonforme Tools für Videokonferenzen gibt, die insbesondere auch den Vorschriften über die Übermittlung personenbezogener Daten in Länder außerhalb der EU und des EWR genügen.
3.7.
Datenschutz vermitteln
In transparenter, klarer und interaktiver Weise erklären, was wir tun und weshalb wir es tun - das gehört zu den Zielen unserer Organisation. Schließlich ist es wichtig, dass die Unionsbürger ihre Datenschutzrechte verstehen, und auch wissen, wodurch diese Rechte unter Umständen beeinträchtigt werden.
Zunehmende Online-Präsenz
Der EDSB ist schon lange in mehreren sozialen Medien präsent: Auf Twitter folgen uns 29 100 Personen, auf LinkedIn dieses Jahr mehr als 63 000, auf YouTube 2 750, auf EU Voice 5 100 und auf EU Video 690. Wir sind also in der Lage, ein weltweites Publikum schnell und einfach zu erreichen.
Im Allgemeinen schaffen wir Inhalte für Kampagnen, die unsere Tätigkeit sichtbar machen; außerdem gibt es Live-Berichterstattung von der Teilnahme des EDSB an Veranstaltungen.
Dem Publikum den Datenschutz nahebringen
Datenschutz ist zuweilen recht kompliziert. Deshalb geben wir uns Mühe, Inhalte sowohl für Datenschutzexperten als auch für Laien zu schaffen, um unsere Arbeit der Öffentlichkeit nahezubringen.
Dazu gehören auch monatliche Newsletter, in denen unsere jüngsten Initiativen und deren potenzielle Auswirkungen auf die Öffentlichkeit kurz erklärt werden; wir erstellen Informationsblätter zu zentralen Datenschutzbegriffen und führen auch Social-Media-Kampagnen durch. Außerdem arbeiten wir mit anderen EUI zusammen, um über Datenschutz aufzuklären. 2022 sind wir noch einen Schritt weiter gegangen und haben eine neue Podcast-Serie namens Newsletter Digest gestartet, um ein größeres Publikum darüber zu informieren, wie wir dessen Daten schützen.
Medien- und Öffentlichkeitsarbeit
Insbesondere durch unsere Pressemitteilungen zu wichtigen Datenschutzinitiativen mit unionsweiten Auswirkungen haben wir häufigen Medienkontakt. Zu den Themen, die 2022 besonders viel Aufmerksamkeit erregten und zu Nachfragen und Interviewanfragen führten, zählten die Aufsicht bei Europol und Frontex sowie unsere EDSB-Konferenz im Juni.
Wir pflegen aber auch unsere Beziehung zur allgemeinen Öffentlichkeit, indem wir Fragen zu unserer Arbeit und unseren Befugnissen als EU-Institution beantworten und Studienbesuche in unseren Räumlichkeiten empfangen.
Neuer Schwung nach COVID-19
Als die COVID-19-Beschränkungen schrittweise aufgehoben wurden, konnten wir wieder Veranstaltungen und mehr persönliche Treffen durchführen, die wir allerdings noch der Post-COVID-Welt anpassen mussten. Ein gutes Beispiel dafür waren Veranstaltungen und Tätigkeiten, an denen man vor Ort oder online teilnehmen konnte. Als Nebeneffekt konnten wir auf diese Weise sogar die von unserer Organisation ausgehenden Umweltbelastungen reduzieren. Zwei solche Hybrid-Veranstaltungen, die wir erfolgreich durchführten, waren die Konferenz über „Die Zukunft des Datenschutzes: Wirksame Durchsetzung in der digitalen Welt“, die im Juni 2022 mit 2000 online und persönlich anwesenden Teilnehmern stattfand, sowie unsere Konferenz über Datenschutz und Strafjustiz (Supervision Conference: Data protection and criminal justice) im November 2022 mit mehr als 200 Teilnehmern (online und vor Ort). Bei den meisten unserer Veranstaltungen haben wir uns große Mühe gegeben, auf umweltfreundliche Beschaffung zu achten: vom lokalen Catering über die Vermeidung von Lebensmittelabfällen bis zu unserem aus wiederverwertbaren Stoffen hergestellten Branding-Material, das wir von einem lokalen Anbieter bezogen.
Gemeinsame Kommunikationsarbeit
2022 haben wir mit anderen EUI zusammen an gemeinsamen Kommunikationsaktivitäten gearbeitet. Im Oktober schlossen wir uns mit ENISA (Agentur der Europäischen Union für Cybersicherheit) und der Europäischen Kommission zu einer Kampagne anlässlich des Europäischen Monats der Cybersicherheit (ECSM) zusammen, der dieses Jahr zum zehnten Mal stattfand. Außerdem unterstützten wir den interinstitutionellen Ausschuss für Online-Kommunikation (IOCC) mit Ideen zu Datenschutzfragen. Insbesondere beim Pilotprojekt EU Voice und EU Video gab es eine weitreichende Zusammenarbeit mit dem IOCC, um redaktionelle Leitlinien und Server-Richtlinien aufzustellen und EUI bei der Teilnahme am Projekt zu helfen.
3.8.
Eine Organisation in Entwicklung
Im Hinblick auf unsere Ziele - insbesondere die Ziele in unserer Strategie des EDSB für 2020-2024 - haben wir unsere Organisation ausgebaut und auch andere Veränderungen vorgenommen, die unserer Arbeitsweise besser gerecht werden.
Die interne Organisation des EDSB wurde geändert, so dass es jetzt einen speziellen juristischen Dienst sowie den Bereich Governance und interne Compliance gibt, damit wir über das für die Wahrnehmung bestimmter Aufgaben erforderliche Fachwissen verfügen.
Wenn wir unsere Ziele erreichen wollen, müssen wir unsere Ressourcen überlegt einsetzen. Deshalb haben wir uns mit der Planung, Durchführung und Prüfung unseres Haushalts größte Mühe gegeben.
Wir haben auch die erforderlichen Vorbereitungen für die Einrichtung eines Verbindungsbüros des EDSB in Straßburg getroffen. Mit diesem Büro, das Anfang 2023 eröffnet wird und die interinstitutionelle und internationale Zusammenarbeit stärken soll, wird es eine weitere Stelle für die Beratung in Datenschutzfragen geben.
Zentrale Leistungsindikatoren 2022
Wir verwenden eine Reihe von zentralen Leistungsindikatoren (Key Performance Indicators, KPI), die uns dabei helfen, unsere Leistung an den in der Strategie des EDSB festgelegten Hauptzielen zu messen. So können wir unsere Tätigkeiten erforderlichenfalls anpassen, um unserer Arbeit mehr Wirkung zu verleihen und unsere Ressourcen effizienter zu nutzen.
Der nachstehende KPI-Anzeiger gibt einen Überblick über die einzelnen zentralen Leistungsindikatoren und die bis 31. Dezember 2022 erzielten Ergebnisse. Diese Ergebnisse werden an den anfänglichen Zielvorgaben oder an den als Indikator verwendeten Vorjahresergebnissen gemessen.
2022 haben wir die vorgegebenen Ziele bei acht von neun KPI erreicht oder - in manchen Fällen deutlich - übertroffen; bei einem KPI, nämlich KPI 8 - Stellenbesetzungsquote des Stellenplans, wurde die Zielvorgabe verfehlt. In diesen Ergebnissen zeigt sich, dass wir, was die Umsetzung unserer strategischen Ziele angeht, 2022 auf dem richtigen Weg waren.
| ZENTRALE LEISTUNGSINDIKATOREN (KPI) | Ergebnisse 31.12.2022 |
Ziel 2022 |
|
|---|---|---|---|
| KPI 1 Interner Indikator | Anzahl der vom EDSB (ko)organisierten Initiativen, einschließlich Veröffentlichungen, zur Verfolgung technologischer Entwicklungen und zur Förderung von Technologien zur Stärkung von Privatsphäre und Datenschutz | 13 initiativen | 10 initiativen |
| KPI 2 Interner & externer Indikator | Anzahl von Aktivitäten mit dem Schwerpunkt interdisziplinäre politische Lösungen (intern und extern) | 8 Aktivitäten | 8 Aktivitäten |
| KPI 3 Interner Indikator | Anzahl der Fälle auf Ebene der internationalen Zusammenarbeit (GPA, Europarat, OECD, GPEN, IWGDPT, Frühjahrskonferenz, internationale Organisationen), zu denen der EDSB einen erheblichen schriftlichen Beitrag geleistet hat | 27 Fälle | 5 Fälle |
| KPI 4 Externer Indikator | Anzahl der Vorgänge, bei denen der EDSB im Zusammenhang mit dem EDSA als Hauptberichterstatter, Berichterstatter oder Mitglied der Redaktionsgruppe fungiert hat | 21 Fälle | 5 Fälle |
| KPI 5 Externer Indikator | Anzahl der Stellungnahmen gemäß Artikel 42 und der gemeinsamen Stellungnahmen des EDSB und des EDSA als Antwort auf Konsultationsersuchen der Europäischen Kommission zu Gesetzesvorhaben | 4 gemeinsame Stellungnahmen 27 Stellungnahmen |
Vorjahr als Referenzjahr |
| KPI 6 Externer Indikator | Anzahl der in vor Ort oder online durchgeführten Prüfungen/Besuche | 4 Prüfungen + 2 Besuche | 3 verschiedene Prüfungen/Besuche |
| KPI 7 Externer Indikator | Zahl der Follower des EDSB in den sozialen Medien: YouTube (YT), LinkedIn (L), Twitter (T), EU Voice und EU Video | YT - 2,75k L - 63k T - 29,1k EU Voice - 5,1k EU Video - 0,69k |
Vorjahresergebnisse + 10 % |
| KPI 8 Interner Indikator | Stellenbesetzungsquote des Stellenplans | 86,9% | 90% |
| KPI 9 Interner Indikator | Haushaltsvollzug | 98,2% | 85% |
KONTAKT ZUR EU
Besuch
In der Europäischen Union gibt es Hunderte von „Europe-Direct“-Informationsbüros. Über diesen Link finden Sie ein Informationsbüro in Ihrer Nähe: https://european-union.europa.eu/contact-eu_de
Telefon oder E-Mail
Der Europe-Direct-Dienst beantwortet Ihre Fragen zur Europäischen Union. Sie können den Dienst kontaktieren
- unter der gebührenfreien Rufnummer 00 800 6 7 8 9 10 11 (bei bestimmten Telefondienstanbietern können Gebühren entstehen),
- unter der regulären Rufnummer +32 22999696 oder
- per E-Mail über: https://european-union.europa.eu/contact-eu_de
Informationen über die EU finden
Im Internet
Auf dem Europa-Portal finden Sie Informationen über die Europäische Union in allen Amtssprachen: https://european-union.europa.eu/index_de
Sie können – zum Teil kostenlos – EU-Veröffentlichungen herunterladen oder bestellen unter: https://publications.europa.eu/en/publications
EU-Veröffentlichungen
Sie können – zum Teil kostenlos – EU-Veröffentlichungen herunterladen oder bestellen unter https://op.europa.eu/de/web/general-publications/publications
Wünschen Sie mehrere Exemplare einer kostenlosen Veröffentlichung, wenden Sie sich an Europe Direct oder das Informationsbüro in Ihrer Nähe (siehe https://european-union.europa.eu/contact-eu_de).
Das offene Datenportal der EU (https://data.europa.eu/de)
Informationen zum EU-Recht und damit verbundene Dokumente
Rechtliche Informationen der EU, einschließlich aller EU-Gesetze seit 1952, in allen Amtssprachen finden Sie bei EUR-Lex unter https://eur-lex.europa.eu
Offene Daten der EU
Das offene Datenportal der EU (https://data.europa.eu/de) bietet Zugang zu Daten der EU. Die Daten können heruntergeladen und kostenlos für gewerbliche und nichtgewerbliche Zwecke weiterverwendet werden.
Contact
Weitere Informationen zum Europäischen Datenschutzbeauftragten (EDSB) finden Sie auf unserer Website unter https://edps.europa.eu.
Abonnieren Sie auch unseren Newsletter auf unserer Website.
Waterford, Irland - Brüssel, Belgien: Trilateral Research Ltd, Vrije Universiteit Brussel, 2023
© Design und Fotos: Trilateral, EDSB & Europäische Union
© Europäische Union, 2023
Die Vervielfältigung ist gestattet, sofern die Quelle angegeben ist.
Für die Verwendung oder Reproduktion von Fotos oder anderem Material, das nicht dem Urheberrecht des Europäischen Datenschutzbeauftragten unterliegt, muss die Erlaubnis direkt von den Inhabern des Urheberrechts eingeholt werden.
|
|
ISBN 978-92-9242-719-1 |
ISSN 1977-8325 |
doi:10.2804/946931 |
QT-AB-23-001-DE-N |
|
HTML |
ISBN 978-92-9242-816-7 |
ISSN 1977-8325 |
doi:10.2804/9370 |
QT-AB-23-001-DE-Q |